ProHoster > Блог > internet vijesti > Opasne ranjivosti u QEMU, Node.js, Grafani i Androidu

Opasne ranjivosti u QEMU, Node.js, Grafani i Androidu

Nekoliko nedavno identifikovanih ranjivosti:

  • Ranjivost (CVE-2020-13765) u QEMU, što bi potencijalno moglo uzrokovati izvršavanje koda s privilegijama QEMU procesa na strani domaćina kada se prilagođena slika kernela učita u gosta. Problem je uzrokovan prelivom bafera u kodu za kopiranje ROM-a tokom pokretanja sistema i javlja se kada se sadržaj 32-bitne slike kernela učita u memoriju. Ispravka je trenutno dostupna samo u obrascu patch.
  • Četiri ranjivosti u Node.js. Ranjivosti eliminisan u izdanjima 14.4.0, 10.21.0 i 12.18.0.
    • CVE-2020-8172 - Omogućava zaobići provjeru certifikata domaćina prilikom ponovnog korištenja TLS sesije.
    • CVE-2020-8174 - Potencijalno dozvoljava izvršavanje koda na sistemu zbog prekoračenja međuspremnika u funkcijama napi_get_value_string_*() koje se javlja tokom određenih poziva na N-API (C API za pisanje izvornih dodataka).
    • CVE-2020-10531 je prekoračenje cijelog broja u ICU (Međunarodne komponente za Unicode) za C/C++ koje može dovesti do prekoračenja bafera kada se koristi funkcija UnicodeString::doAppend().
    • CVE-2020-11080 - omogućava uskraćivanje usluge (100% CPU opterećenje) putem prijenosa velikih okvira "SETTINGS" pri povezivanju putem HTTP/2.
  • Ranjivost u Grafana interaktivnoj platformi za vizualizaciju metrike, koja se koristi za pravljenje grafova vizuelnog praćenja na osnovu različitih izvora podataka. Greška u kodu za rad sa avatarima omogućava vam da pokrenete slanje HTTP zahtjeva iz Grafane na bilo koji URL bez prolaska autentifikacije i vidite rezultat ovog zahtjeva. Ova funkcija se može koristiti, na primjer, za proučavanje interne mreže kompanija koje koriste Grafanu. Problem eliminisan u pitanjima
    Grafana 6.7.4 i 7.0.2. Kao sigurnosno rješenje, preporučuje se ograničavanje pristupa URL-u “/avatar/*” na serveru na kojem radi Grafana.

  • objavljeno Junski set sigurnosnih ispravki za Android, koji popravlja 34 ranjivosti. Četiri problema su dodijeljena kritičnom nivou ozbiljnosti: dvije ranjivosti (CVE-2019-14073, CVE-2019-14080) u vlasničkim Qualcomm komponentama) i dvije ranjivosti u sistemu koje omogućavaju izvršavanje koda prilikom obrade posebno dizajniranih vanjskih podataka (CVE-2020 -0117 - cijeli broj overflow u Bluetooth stogu, CVE-2020-8597 - EAP prelivanje u pppd).

izvor: opennet.ru

Dodajte komentar